GitHub, geçerlilik kontrollerini Amazon Web Services (AWS), Microsoft, Google ve Slack gibi popüler hizmetlere genişleten gizli tarama özelliğinde bir iyileştirme yaptığını duyurdu.
Microsoft yan kuruluşu tarafından bu yılın başında uygulamaya konulan geçerlilik kontrolleri, kullanıcıları gizli taramayla bulunan açığa çıkan tokenlerin aktif olup olmadığı konusunda uyarıyor ve böylece etkili iyileştirme önlemlerine olanak tanıyor. İlk olarak GitHub tokenları için etkinleştirildi.
Bulut tabanlı kod barındırma ve sürüm kontrol hizmeti, gelecekte daha fazla tokenı desteklemeyi planladığını söyledi.
Ayarı değiştirmek için kuruluş veya kuruluş sahipleri ve veri havuzu yöneticileri Ayarlar > Kod güvenliği ve analizi > Gizli tarama’ya gidebilir ve “Bir sırrın geçerli olup olmadığını, ilgili ortağa göndererek otomatik olarak doğrula” seçeneğini işaretleyebilir.
Bu yılın başlarında GitHub ayrıca tüm genel depolar için gizli tarama uyarılarını genişletti ve geliştiricilerin ve bakımcıların, yüksek düzeyde tanımlanabilir sırları gönderilmeden önce tarayarak kodlarını proaktif bir şekilde güvence altına almalarına yardımcı olmak için anında iletme korumasının mevcut olduğunu duyurdu.
Bu gelişme, Amazon’un, bir AWS Organizasyon hesabının ayrıcalıklı kullanıcılarını (yani kök kullanıcıları) 2024 ortasından itibaren çok faktörlü kimlik doğrulamayı (MFA) açmaya zorlayacak gelişmiş hesap koruma gereksinimlerinin ön izlemesini yapmasıyla birlikte geliyor.
Amazon’un güvenlik şefi Steve Schmidt, “MFA, hesap güvenliğini artırmanın en basit ve en etkili yollarından biridir ve yetkisiz kişilerin sistemlere veya verilere erişmesini önlemeye yardımcı olacak ek bir koruma katmanı sunar.” dedi.
ABD Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan yeni bir ortak tavsiye belgesine göre, zayıf veya yanlış yapılandırılmış MFA yöntemleri de en yaygın 10 ağ yanlış yapılandırması arasında kendine yer buldu.
Ajanslar, “Bazı MFA biçimleri kimlik avına, ‘itme bombardımanına’, Sinyal Sistemi 7 (SS7) protokolü açıklarından yararlanmaya ve/veya ‘SIM takas’ tekniklerine karşı savunmasızdır” dedi.
“Bu girişimler başarılı olursa, bir tehdit aktörünün MFA kimlik doğrulama bilgilerine erişmesine veya MFA’yı atlayarak MFA korumalı sistemlere erişmesine olanak tanıyabilir.”
Diğer yaygın siber güvenlik yanlış yapılandırmaları şunlardır:
- Yazılım ve uygulamaların varsayılan yapılandırmaları
- Kullanıcı/yönetici ayrıcalığının hatalı şekilde ayrılması
- Yetersiz dahili ağ izleme
- Ağ bölümleme eksikliği
- Kötü yama yönetimi
- Sistem erişim kontrollerinin atlanması
- Ağ paylaşımları ve hizmetlerinde yetersiz erişim kontrol listeleri (ACL’ler)
- Yetersiz kimlik hijyeni
- Sınırsız kod yürütme
Azaltıcı önlem olarak kuruluşların varsayılan kimlik bilgilerini ortadan kaldırması ve yapılandırmaları sağlamlaştırması önerilir; kullanılmayan hizmetleri devre dışı bırakın ve erişim kontrollerini uygulayın; yama uygulamasına öncelik verin; Yönetici hesaplarını ve ayrıcalıklarını denetleyin ve izleyin.
Yazılım satıcılarına ayrıca tasarım gereği güvenli ilkeleri uygulamaları, mümkün olan yerlerde bellek açısından güvenli programlama dilleri kullanmaları, varsayılan parolaları yerleştirmekten kaçınmaları, müşterilere ekstra ücret ödemeden yüksek kaliteli denetim günlükleri sağlamaları ve kimlik avına karşı dayanıklı MFA yöntemlerini zorunlu kılmaları konusunda çağrıda bulunuldu.
“Bu yanlış yapılandırmalar, (1) olgun siber duruşlara sahip olanlar da dahil olmak üzere birçok büyük kuruluştaki sistemik zayıflık eğilimini ve (2) ağ savunucularının üzerindeki yükü azaltmak için yazılım üreticilerinin tasarım gereği güvenlik ilkelerini benimsemesinin önemini gösteriyor.” ajanslar dikkat çekti.